Как сообщается, пользовательские темы могут использоваться для кражи учетных данных пользователя Windows 10.
Новое открытие исследователя безопасности Джимми Бэйн, который сообщил об этом в Твиттере, раскрывает уязвимость в движке тем Windows 10, которую можно использовать для кражи учетных данных пользователей. Специальная деформированная тема при открытии перенаправляет пользователей на страницу, предлагающую пользователям ввести свои учетные данные.
Рекламное объявление
Как вы уже знаете, Windows позволяет делиться темами в настройках. Это можно сделать, открыв «Настройки»> «Персонализация»> «Темы», а затем выбрав «Сохранить тему для публикации"из меню. Это создаст новый *.deskthemepack файл которые пользователь может загружать в Интернет, отправлять по электронной почте или делиться с другими различными способами. Другие пользователи могут загрузить такие файлы и установить их одним щелчком мыши.
Злоумышленник может аналогичным образом создать файл «.theme», в котором настройки обоев по умолчанию указывают на веб-сайт, требующий аутентификации. Когда ничего не подозревающие пользователи вводят свои учетные данные, на сайт для аутентификации отправляется NTLM-хэш данных. Затем несложные пароли взламываются с помощью специального программного обеспечения для де-хеширования.
[Уловка сбора учетных данных] Используя файл .theme Windows, можно настроить клавишу обоев так, чтобы она указывала на ресурс http / s, требующий удаленной аутентификации. Когда пользователь активирует файл темы (например, открывается по ссылке / вложению), пользователю отображается запрос кредита Windows.
Что такое файлы * .theme?
Технически файлы * .theme - это файлы * .ini, которые включают ряд разделов, которые Windows читает и изменяет внешний вид ОС в соответствии с найденными инструкциями. В файле темы указывается цвет акцента, применяемые обои и несколько других параметров.
Один из его разделов выглядит следующим образом.
[Панель управления \ Рабочий стол]Обои =% WinDir% \ web \ wallpaper \ Windows \ img0.jpg
Он определяет обои по умолчанию, применяемые при установке темы пользователем. Вместо локального пути, указывает исследователь, он может быть установлен на удаленный ресурс, который можно использовать, чтобы заставить пользователя ввести свои учетные данные.
Клавиша обоев находится в разделе «Панель управления \ Рабочий стол» файла .theme. По словам Джимми Бэйна, другие ключи могут использоваться таким же образом, и это также может работать для раскрытия хэша netNTLM, когда он установлен для удаленных местоположений файлов.
Исследователь предоставляет способ смягчить проблему.
С точки зрения защиты, блокируйте / повторно связывайте / ищите расширения "theme", "themepack", "desktopthemepackfile". В браузерах перед открытием пользователям должен быть выставлен чек. В последние годы были обнаружены и другие уязвимости CVE, поэтому их стоит устранить и смягчить.
Источник: Neowin
